Q
[질문] 현재 많은 기업이 자산 식별과 취약점 관리 체계를 CVE 기준에 의존하고 있는데, CVE 등록 지연 또는 부정확성이 심화될 경우를 대비해 내부적으로 취약점 관리 프로세스를 어떻게 설계하는 것이 바람직할까요? 예: 자산분류 기준의 세분화, 내부 코드 명명 규칙 등등
A
우선 내부에서 자산의 중요도 설정부터 출발하시길 권고 드립니다. 또한 취약점을 EPSS와 같은 위험도 수치와 관련하여 점검해보면 좋겠습니다.